[Problem] Neues Debranding Problem: FB7490 1&1, HWRevision: 185, Subversion: 6 (2017)

Beim Downgrade des Bootloaders sind sofort zwei Variablen aufgefallen, die es in der 1&1-Version gar nicht mehr gibt:
TR069_accountname und TR069_passwordhash. Diese Variablen konnte ich nur mit dummy-Werten füllen, da beide Angaben
für die 1&1-Varianten NICHT (mehr) vorhanden sind!
Bei 1&1-Modellen waren die CWMP-Accountdaten noch nie vorhanden, ist also normal.

Diese individuellen tr069-Daten sind sehr wohl wichtig bei ISPs die nach wie vor keine Config-Daten herausrücken,
und ausschliesslich über diese Verfahren die Daten auf die Boxen befördern.
Das Problem hatte man bei 1&1-Modellen, wie schon gesagt, schon immer (schließlich sind die auch primär für 1&1 Anschlüsse gedacht und da 1&1 nicht mit CPE spezifischen CWMP-Zugangsdaten arbeitet gibt es bei 1&1-Modellen auch keinen CWMP-Account), u.a. deshalb gibt es z.B. auch folgende Themen dazu (meine Bemerkung in #4 aus dem ersten Link bzgl. 1&1 ignorieren, da hatte ich mich damals getäuscht, es waren Modelle von einem anderen Provider):
https://www.ip-phone-forum.de/threads/281591
https://www.ip-phone-forum.de/threads/283630
https://www.ip-phone-forum.de/threads/225865

- - - Aktualisiert - - -

Ich empfehle hier die Version 6.20.

Warum soll es ein 6.20er Recovery sein? Warum nicht gleich FritzOS 6.50, 6.60 oder 6.80?


Grund für die letzte Bearbeitung dieses Beitrages ist das Ersetzen der IPPF-Links als BBCode durch normale URL da die entsprechenden BBCodes seit dem Foren-Update von Anfang Juli 2017 nicht mehr funktionieren.
 
Zuletzt bearbeitet:
Ansonsten ist es ja auch "bekannt", daß die Verschlüsselung der intern gespeicherten Zugangsdaten (aka "credentials") - und das meint nicht nur die DSL-Zugangsdaten, sondern alle verschlüsselt gespeicherten Werte, also diejenigen, die mit vier Dollarzeichen beginnen und danach nur die Buchstaben A bis Z und die Ziffern 1 bis 6 für die von AVM verwendete Form einer Base32-Kodierung enthalten - "individuell" ist (es wird aus boxspezifischen Einstellungen ein Kennwort errechnet und neben diesem Kennwort geht noch ein jeweils für einen Wert individueller "salt"-Wert mit die Ver-/Entschlüsselung eines konkreten Wertes ein) und auf den verwendeten Werten für "wlan_key" und "maca" basiert (zumindest bei vielen Modellen, bei der 6490 weiß ich es gerade nicht mehr und bei der 6360 kann ich es nicht mehr testen). Auf der Basis dieser "Erkenntnisse" arbeitet dann ja auch "decode_passwords", wenn man es für das Dekodieren der (internen) Dateien einer anderen FRITZ!Box mit MAC-Adresse und WLAN-Key aufruft. Sowie man also einen der beiden Werte ändert (ob nun in den Daten aus der Finalisierung oder über Einträge im TFFS - entscheidend ist der resultierende Wert im FRITZ!OS), kann das OS die eigenen (verschlüsselten) Einstellungen nicht mehr lesen ... das ist also kein "spezielles Problem" beim Ändern des Bootloaders.

Vom "Leeren" von MTD3 und/oder MTD4 (bzw. das spielt eben nur eine Rolle, wenn man beide gleichzeitig bearbeitet, weil ansonsten - dank 0xFFFFFFFF als "segment ID"-Kennzeichnung bei gelöschten Flash, wo ansonsten 0x00010004, gefolgt von einem 32-Bit-Wert für die (negierte) ID, stehen würde - einfach die andere benutzt wird) kann man ohnehin nur abraten ... vor allem dann, wenn man hinterher das Recovery-Programm verwenden will. Kann der Bootloader dann aus irgendeinem Grund das "RETR env" nicht korrekt ausführen (er muß dazu eigentlich auf die Daten aus der Finalisierung und den "legacy settings" in seinem eigenen Code zurückgreifen), hat das Recovery-Programm auch nur ein "unvollständiges Environment", schreibt das dann in die TFFS-Partitionen und im ungünstigsten Fall startet dann der Bootloader beim nächsten Versuch nicht einmal den FTP-Server korrekt. Wer das also ohne serielle Konsole oder JTAG-Interface in Angriff nimmt, riskiert m.E. zuviel ... vollkommen unabhängig davon, daß das ruKernelTool das schon lange so macht. Dort wird beim "Leeren" einfach (nach dem impliziten Löschen der Partition, ein direktes Kommando zum Löschen - wie über die Konsole - gibt es im FTP-Server nicht) eine Datei der Länge 0 geschrieben ... in der Folge sind beide Partitionen leer und werden jetzt beim Start des FRITZ!OS erst einmal mit einer gültigen TFFS-Struktur initialisiert. Was in so ein Image eigentlich alles hineingehört, kann man sich im Ergebnis von "build_tffs_image" ansehen ... spätestens dann, wenn der TFFS-Treiber beim Start des Systems irgendwann mal NICHT mehr damit klarkommt, daß es gar keine Daten in den Partitionen gibt (der neue Legacy-Treiber für TFFS 3 "beschwert" sich zumindest schon mal über fehlende Strukturen in "TFFS3_LGCY_Setup()"), dann kann das ins Auge gehen.

Wobei das im AVM-TFFS-Treiber ohnehin ein Krampf ist, wo man sich fast einen Knoten ins Gehirn machen muß ... intern wird die Segment-ID nämlich dann nicht als vorzeichenbehaftete 32-Bit-Zahl angesehen, das gilt nur für die Speicherung im Flash und so wird diese ID dann nach dem Lesen noch negiert, bevor sie im laufenden System verwendet wird und vor dem Speichern dann logischerweise ebenfalls. Damit zählt der Code im Treiber dann diese Segment-ID hoch für eine neue Version, während sie bei der Speicherung dekrementiert wird. Das sind beim Review dieses Codes ganz böse Fallen, wenn da irgendein "größer/kleiner"-Vergleich steht und im Hexdump des Inhalts findet man den negierten Wert ... nur noch als "Ergänzung", weil der Code-Schnipsel in #10 ansonsten mit seinem Vergleich mittels ">" vielleicht etwas mißverständlich wirkt.

Ich bin ohnehin mal gespannt, ob AVM dann einen Fehler bei der Initialisierung der "name table" im laufenden System tatsächlich gefixt hat und wie die neuen Quellen dort aussehen (war ja nicht so kompliziert, nur ein zusätzliches Limit war einzubauen).

Warum stelle ich mir diese Frage überhaupt? Nun, nicht alle "bestätigten" Probleme sind ja auch korrigiert und für dieses Problem habe ich nur eine E-Mail am 23.09.2016 um 10:59 Uhr erhalten, jedoch keine Incident-Nummer von AVM und nur den Hinweis, es wäre in der nächsten Labor-Version für die 7490 dann gefixt.

Das galt aber nach meinem Verständnis für dieses Problem auch (E-Mail vom 24.06.2016, 15:25 Uhr, auch mit der Versicherung, es würde im nächsten "major release" behoben sein) und diese Lücke war zumindest in der 113.06.80 gerade noch auszunutzen (das PowerShell-Skript dazu steht im Repo). Zumindest wurde die Datei noch überschrieben und das wäre schon für sich ein "Problem", selbst wenn das FRITZ!OS dann vielleicht wegen irgendeiner zusätzlich gespeicherten Prüfsumme (es gibt irgendwelche neuen Einträge in Konfigurationsdateien zu diesem "BPjM-Thema") dieses Update nicht mehr verwendet und auf die interne, ältere Version zurückgreift (habe ich gar nicht erst getestet) - zumindest wäre es dann immer noch möglich, auf diesem Weg das Verwenden einer aktuellen Liste (über deren generelle Aktualität bei monatlicher Versionierung sollen andere urteilen) zu verhindern, was nur auf den ersten Blick "weniger schlimm" (bzw. "relevant") aussieht. Andererseits könnte es ja auch sein, daß AVM die 06.80 gar nicht als ein solches "major release" ansieht und erst eine Version 07.irgendwas dieses Kriterium erfüllt - dann wäre ich meinerseits von falschen Annahmen ausgegangen.
EDIT: Dem BPjM-Thema hatte ich ja tatsächlich schon einen eigenen Thread "gewidmet", der findet sich hier: http://www.ip-phone-forum.de/showthread.php?t=288698
 
Zuletzt bearbeitet:
Hi,

ich habe jetzt ebenfalls eine internationale 7490 mit englischsprachigem Karton und HWSubRevision 6, allerdings mit Urlader 2964. Ich kann bestätigen, dass sich die meisten ENV Variablen nicht mehr über ADAM2 dauerhaft verändern lassen. Er verhindert es zwar nicht aktiv, aber das SETENV überlebt einen Reboot oder stromlos schalten nicht. Einige Variablen kann ich aber dauerhaft verändern: wlan_key, crash (die war bei mir mit drei Einträgen gesetzt), kernel_args. Annex geht leider nicht und die maca bis x auch nicht. Keine Ahnung wie sie es machen, aber an der Bootloader Version scheint es ja auch nicht zu liegen, da habe ich ja eine "gängige".
Hardware-"Fuses" auf den Speicherzellen ??
Seriennummer beginnt mit H
.

- - - Aktualisiert - - -

Nochmal ich:
@[SIZE=2pt]PeterPawn[/SIZE] : darf dich leider nicht per PN anmailen, deswegen hier die Bitte: könntest du mir bitte einen Bootloader der 7490 zukommen lassen? Danke!
 
Zuletzt bearbeitet:
Also "avm" ohne \x00\x00 am Ende resultiert Garantiert in einem brick. Du kannst in ner binärdatei nicht mal eben die Länge ändern. Außerdem startet die Kiste ja im Moment eh anscheinend nicht. Und wenn wirklich der Bootloader im Eimer ist jetzt dann wird die wohl auch nicht mehr starten.
 
IMHO: eine FB7580 mit "SerialNumber J035610........" ist aufgrund von #30 nun von Garantie bei 1&1 ausgeschlossen. Zweitnutzung als "Briefbeschwerer" oder "Türstopper" ist natürlich möglich.
 
Zuletzt bearbeitet:
1&1 gewährt sowieso keine Garantie auf Fritzboxen. Ein Austausch bei AVM im Rahmen der Herstellergarantie ist durchaus möglich. Der letzte Satz trägt sicher nicht zur sachlichen Diskussion bei.
 
Nachdem ich mir die vielen fachlichen Beiträge im Thread nochmal in Ruhe durchgelesen habe, komme ich zur Erkenntnis dass man mit der 1&1-gebrandeten Box auch gut hätte leben können ; )
 
Die Erkenntniss kommt leider etwas spät (ist leider ja nichts neues)
 
@berno777
Irgendwo stand, dass man ohne JTAG so etwas besser nicht tut. Wenn Du das Original noch hast, wird dies wohl der einzige Weg sein imho
LG

Gesendet von meiner Handquetsche mit dicken Fingern
 
Möchte mein 1und1 branding weg bekommen habe :

Bootloader 1.3179
Hw 185
 
Wo bekomme ich den her ??
Kann mir diesen jemand bereitstellen

Wäre toll danke
 
Okay wie downgrade ich meinen ?
 
Du solltest lieber deine Denkweise von "chatter" auf "reader" ändern
 
Würde ich machen finde lese schon seit Stunden finde aber nicht die Lösung hier brauche ed nicht auf dem silbertablett mir lang es wenn man mir den Post nennt

Danke
 
So mal eine erste Rückmeldung zu den 2017er 7490 1&1 Kisten:

Ich habe nun, dank der freundlichen Unterstützung durch PeterPawn, erfolgreich einen Bootloader-DOWNGRADE bei der 1&1 7490er durchgeführt.
Zuerst einmal: Es entstehen sehr wohl gewisse "Nachteile" - wenn man die 1&1-Box mit dem Branding einfach so weiter verwendet.
(Bei einem anderen ISP evtl!)

Beim Downgrade des Bootloaders sind sofort zwei Variablen aufgefallen, die es in der 1&1-Version gar nicht mehr gibt:
TR069_accountname und TR069_passwordhash. Diese Variablen konnte ich nur mit dummy-Werten füllen, da beide Angaben
für die 1&1-Varianten NICHT (mehr) vorhanden sind!!

Es handelt sich somit tatsächlich bei den neuen Versionen um eine "leicht kastrierte" Box die auf einen ISP optimiert
worden ist.

Diese individuellen tr069-Daten sind sehr wohl wichtig bei ISPs die nach wie vor keine Config-Daten herausrücken,
und ausschliesslich über diese Verfahren die Daten auf die Boxen befördern. Die "StartCode"-Sache ist ja im Grunde
eine Eigenentwicklung von 1&1. Auch bei einigen anden Sub-Funktionen (z.b. Cloud-Sachen anderer Anbieter) ist die branded
Version etwas eingeschränkter als die "avm"-Variante.


Also abschliessend: Ein Downgrade des Bootloaders der HW6 auf einen Bootloader der HW2 oder 3 ist problemlos möglich,
wenn man zuvor noch den config-Bereich mit einem Hexeditor entsprechend bearbeitet hat. (Übernahme der MAC-Adressen
aus dem neueren Loader nach entsprechend vorherigem dumpen)
.

Achtung: Nach dem BL-Downgrade funktioniert kein einziges "hashed" Passwort mehr!

Direkt nach dem Downgrade sollte in derselben Session unbedingt noch ein erase mtd3+mtd4 gemacht werden,
danach sofort mit der entsprechen Recovery hinterher. Ich empfehle hier die Version 6.20.
Von dort aus dann entsprechend die erste Freetz-Version rein (z.b. 6.50) - und ab dann ueber Freetz
selber bis zur 6.80´er upgraden. Der Weg über adam2/ftp zum manuellen setzen von "firmware_version" ist
bei vorherigem Löschen von mtd3+mtd4 nicht mehr nötig - hier werden dann die gepatchten Werte des
urloaders genommen.

Es ist jetzt wohl davon auszugehen, das auch die 7362SL von 1&1 ähnlich kastriert sein dürfte. Im Grunde hat dann
künftig keine einzige "schwarze Kiste" mehr individuelle tr069-Daten im urloader drin. Jeder der aber sowieso
alles von Hand konfiguriert, hat dann hier tatsächlich keine wirklichen Nachteile dadurch... ;-)


Also bei mir rennt das ganze jetzt seit 3 Tagen stabil als ATA ;-)


BTW: Ich habe hier jetzt bewusst keine Step-By-Step-Anleitung geschrieben, da das Ersetzen des
Bootloaders, nebst auch der Beschaffung eines älteren passenden Loaders, eine nicht zu unterschätzende
"Briefbeschwerer-Situation" hervorrufen kann. Solange man ein JTAG-Interface griffbereit hat, kann man
das jedoch recht entspannt angehen.

Man sollte sich zumindest gut mit dem auslesen und flashen im laufenden Betrieb auskennen, bevor
man mit dieser Methode dem Debranding endgültig auf die Pelle rückt ;-)


Ist doch schon gemacht worden oder sehe ich das falsch
 
Könnte jemand mal bitte beschreiben wie man so ein Downgrade hinbekommt.
Könnte man eine recovery.exe dazu bringen den Bootloader zu ersetzen ?
MfG
 
Zuletzt bearbeitet:
There is a possibility that the 7590 1und1 (manufactured date 09.02.2018) to converted in international version or just to remove UI brand?
 
@mettyisback:
Früher (bis zur 7390) ging das mit der Recovery.exe recht einfach, einfach die Versionsinfos suchen im Binary und durch höhere ersetzen und der Bootloader wurde upgedated. Leider geht das mit den neueren Boxen/Recoveries nicht mehr bzw. ich habe es noch nicht geschafft, die Stelle im Binary zu finden, weil sich auch der Aufbau geändert hat. Ich glaube sogar, der Bootloader ist nicht mehr im Recovery enthalten.
 
Wäre es möglich das mir mal jemand einen ungebrandeten Bootloader der 7490 zukommen lassen würde.
MfG

### Zusammenführung Doppelpost by stoney ###

Habs jetzt einfach mal probiert.
Mit
cat /dev/mtdblock6 > /var/media/ftp/uStor01/bootloader.bin
aus "firmware_version.1und1" "firmware_version.avm" machen
Hex "66 69 72 6D 77 61 72 65 5F 76 65 72 73 69 6F 6E 00 31 75 6E 64 31" abändern in "66 69 72 6D 77 61 72 65 5F 76 65 72 73 69 6F 6E 00 61 76 6D 00 00"
und zurück in mtd6 mit
cat bootloader.bin > /dev/mtdblock6
 
Zuletzt bearbeitet von einem Moderator:
Holen Sie sich 3CX - völlig kostenlos!
Verbinden Sie Ihr Team und Ihre Kunden Telefonie Livechat Videokonferenzen

Gehostet oder selbst-verwaltet. Für bis zu 10 Nutzer dauerhaft kostenlos. Keine Kreditkartendetails erforderlich. Ohne Risiko testen.

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.